揭秘所谓盗微信号和QQ号灰色产业

’嗨,大家好;本期来揭秘所谓破解微信密码和QQ密码灰色产业链,写本文时,在想会不会被腾讯和谐;但我的用意,是告诉一些人不要被欺骗,所以本期内容有点反诈骗的了。

同时本篇文章很浅,也不想吐一大堆什么tcp、arp、协议、抓包数据分析、cookie.....只是写了一些逻辑。


什么是逻辑性漏洞?通过非技术原理判断,存在的可能性条件,叫做逻辑性漏洞。所以本篇文章就是说相声的,大神就绕道吧,我不想被砸鸡蛋,哈哈。


前言

第一点呢?要提防被骗钱,生活很无奈,也许你在现实中受了委屈,但不要借助网络攻击破解密码,来进行报复;反正有99%概率会被所谓的黑客骗钱了,同时这也是在犯罪。


第二点呢?我会以按内容点的形式来讨论微信密码、qq密码可否真的安全?


是不是真的安全,你还是自己判断,本文不提供任何方法和教程,纯粹谈谈而已,希望话题不要很敏感!


如果,你正在网上找黑客的话,建议你不妨看看这篇文章吧。如果你看不下去,也不用看了,建议你直接停掉想破解密码的想法。如果你不甘心,那就接着看看呗。


灰色

网上说几百块、几千块就可以破解你指定的微信、QQ密码,纯碎是骗子。为什么呢?指定盗qq,一个没有灰色的6位数不带4的qq,例如:995820,在交易市场可以卖到1.5万元以上。所以网上说几百块、几千块就能破解密码的是纯碎的骗子,你信不信就由你。但有一点,微信账号比qq更安全,下面我们会来说说。


了解

QQ的安全机制:

密码登陆次数验证机制、IP判断登陆机制、手机号码验证机制、登陆设备授权

微信安全机制:

微信密码登陆次数机制、IP判断登陆机制、手机验证码登陆机制、设备授权登陆机制、朋友圈好友头像验证识别机制。


对比

从上面看,qq安全登录需要判定并且需要满足4个条件;微信安全登录需要判定并且满足5个条件。所以微信账号比QQ账号更安全。但看似无懈可击的微信,还有存在被破解的可能,就是运用社工学。


那么有大神就会问了,如果我利用路由器抓包的cookie呢,而且是本地网络呢?模拟登陆呢?的确有这是一条路可走,但是在你模拟这些的时候,你花费的时间与成本,估计是用在商业间谍上来吧。


QQ

那么QQ有什么逻辑上的漏洞呢?


1、QQ密码登陆次数机制、显然用撞库去破解密码是不可能的了。


2、IP判断登陆机制、如果是熟人搞事,使用了钓鱼手段诱导获取了你的密码、在你的同一wifi环境;你可以拿起2把手机登陆你的qq试试,是否可以登陆。答案会是可以。

这里qq和微信IP判断登陆机制就不一样了,微信是即使同一IP要默认有确认授权的手机情况下,才可以安全登录。


3、手机验证码登陆机制,如果你被钓鱼获取了密码,你还没绑定手机号码,那么你的qq可能会被登陆。


4、登陆设备授权,这个验证机制还是很牛的,基本如果你手动开启了授权,你的qq基本很安全了。所以,如果想让自己的qq安全区试试了。


总结:这4个条件,不在中木马条件下,如果你中木马,什么也不用说了。前面第3、第4条件,qq的话需要手动开启,不像微信都是默认开启这2种验证模式;这可能和微信与qq的产品历史有关系,因为微信比较新,全部的系统架构都是新设计的,这些验证条件微信是默认的,故此微信比较安全。


防御

QQ密码泄密,最大的就是来自钓鱼网页的危害。特别是移动端。怎么防止钓鱼呢?这里域名就启到关键性作用了。


告诉大家一个常识:域名:域名是世界唯一性的。就是说,世界是一个局域网,这个局域网,只有存在qq.com这个域名,除非你是本地网络,把127.0.0.1 解析到qq.com。局域网,这个就不能扯远了,扯远了永远说不完,有兴趣自己探索,扯下去这里还有逻辑性漏洞可寻。


1、在微信浏览器如何辨别是QQ官方网址qq.com呢?

话红色圈的就是下拉显示,就可以看到qq.com这个域名,看到这个域名就是qq官方网站了。


2、这点就更可怕,前阵子我发现,微信浏览器的h5网页,可以做网址欺骗,下面截图就揭秘网址欺骗,当时我还特意用微信开发工具调试查看了源代码,我当时以为是xss,没想到是网址欺骗。


在4月版本的微信浏览器上,通过下拉发现网址,可以实现写一段js代码,模仿任意网址。现在版本的微信浏览器应该不存在这个东西吧,我相信微信安全团队。截止6月5日,从提交漏洞报告来看,还未被修复。


那么这种怎么防范呢?

进入链接,点开做上角,就可以看到原网址qq.com了。


3、在短信收到的链接用Safari浏览器打开链接如何辨别呢?

Safari浏览器做的很好,无论你访问的网址链接有多长,都显示二级域名形式,直接看到qq.com。反正你看到qq.com就是腾讯官方,不是钓鱼连接。




ps:这次本来想实验下抓取微信、qq数据包,看看登陆时、发消息时、验证时、发生了什么事情。想想算了,很担心本号被腾讯和谐掉。那么推荐大家一款抓包软件吧,叫做WSExplorer




本文地址http://hackjason.com/post-10.html

分享本文至:

大家在说:

绿永亭
2017-11-09 20:15
涨知识了,希望与博主互动交流
名侦探吴亦凡
2017-07-27 02:30
您好,我是一个曝光类微博博主,现有11万粉丝,拜读了您的文章,感觉非常好,您的这个文章我可以分享在微博里吗?让更多人看看。会注明来源作者的。
jason
2017-07-27 03:44
@名侦探吴亦凡:好。可以的

发表留言:

如何10分钟搞定撞库 如何开始你的渗透测试之旅(新手必看)
返回顶部